CodeQL是GitHub代码扫描背后的静态分析引擎,它可以发现并修复代码中的安全问题。我们最近发布了CodeQL 2.25.6,它添加了Swift 6.3.2支持,完全覆盖了C # 14和.NET 10,并改进了跨多种语言的敏感数据检测。CodeQL现在支持对使用Swift 6.3.2构建的应用程序进行分析。我们已经完成了对C # 14和.NET 10的完全支持。
提取器现在支持所有新的语言功能,数据流库现在包括为.NET 10运行时生成的模型。我们为org.apache.avro添加了源和接收器模型。我们为scanf_s和相关函数添加了流量源模型。我们已调整action/untrusted-checkout/critical,因此警报现在会显示在结账点,并与相关的不受信任资源查询保持一致。
请注意,此更改将导致以前从此查询关闭的警报重新打开。action/unpinned-tag查询现在除了40个字符的SHA-1哈希之外,还将64个字符的SHA-256提交哈希识别为正确固定的引用,这可以减少误报。
该分析现在识别出更多将值限制为字母数字字符的Bash正则表达式检查,包括检查SHA-1或SHA-256哈希的模式,这可能会减少在使用前验证命令输出的误报。
JavaScript/TypeScript、Python、Swift和Rust我们改进了用于识别代码处理密码和私有数据的敏感数据启发式方法,使CodeQL能够检测到已建立模式的更多变化。js/clear-text-logging、py/clear-text-logging-sensitive-data、swift/cleartext-logging和rust/cleartext-logging等查询现在可以找到更正确的结果和更少的误报。